近日，有報道稱，一種新的惡意軟件正在通過針對LinkedIn帳戶的網(wǎng)絡釣魚活動劫持備受關(guān)注的Meta Facebook Business和廣告平臺帳戶。研究人員表示，這種名為Ducktail的惡意軟件使用來自經(jīng)過身份驗證的用戶會話的瀏覽器cookie來接管帳戶，并最終劫持受害者有權(quán)訪問的任何Facebook Business帳戶，竊取相關(guān)數(shù)據(jù)。

什么是賬戶劫持？

帳戶劫持（Account hijacking）是控制他人賬戶的行為，目的通常是竊取個人信息、冒充或勒索受害者。賬戶劫持作為一種常見的攻擊類型，執(zhí)行起來卻并不容易，為了成功實施攻擊，攻擊者必須提前弄清楚受害者的密碼。

企業(yè)賬戶被劫持可帶來巨大的安全威脅。例如，在上述“ Facebook 企業(yè)帳戶被劫持”事件中，為了滲透帳戶，攻擊者針對Linkedln用戶發(fā)起一場網(wǎng)絡釣魚活動，該活動使用與品牌、產(chǎn)品和項目規(guī)劃相關(guān)的關(guān)鍵字來引誘受害者下載包含惡意軟件可執(zhí)行文件以及相關(guān)圖像、文檔和視頻文件的存檔文件。

據(jù)了解，惡意軟件從Facebook竊取的具體信息包括：安全憑證、個人帳戶識別信息、業(yè)務詳細信息和廣告帳戶信息。此外，研究人員表示，Ducktail還允許威脅行為者對Facebook商業(yè)帳戶進行完全管理控制，這可以讓他們訪問用戶的信用卡或其他交易數(shù)據(jù)以獲取經(jīng)濟利益。

雖然，此次新型惡意軟件Ducktail能夠利用經(jīng)過身份驗證的Facebook會話從受害者的Facebook帳戶中竊取信息。但一般情況下，保護企業(yè)賬戶，身份和訪問管理仍然是一個很好的解決方案。

學會利用多因素的身份驗證

例如，企業(yè)可以在VPN 端點上實施 RADIUS 認證，要求出示唯一憑證后才可訪問。RADIUS 認證比使用共享憑證要安全得多，但如果用戶憑證還是不幸被泄露，那么就需要額外的保護措施。

而在這時，多因素的身份認證就有了用武之地。例如，在VPN 和 RDP 系統(tǒng)登錄時要求用戶出示二次認證因素會讓登錄過程的安全性進一步提升。目前，有幾類驗證因素已經(jīng)可以完全防止機器人暴力破解，并且對于其他針對性攻擊也同樣有效。

同時，企業(yè)還必須考慮自動訪問應用的各種方法，如用于Web API的TLS相互認證的證書，以及認證令牌和所使用的API密鑰。但關(guān)鍵問題是，要理解用戶如何登錄，并且為每種訪問方法采取適當?shù)谋Ｗo措施。

訪問權(quán)限管控

例如，在企業(yè)云賬戶管理中，會計部門往往要求訪問云供應商控制臺的付款和賬單部分。負責監(jiān)視IaaS環(huán)境中的對象的運營工程師們有可能并不需要訪問詳細的賬單記錄。其中，會計部門的哪些成員能夠創(chuàng)建新的存儲空間、啟動新的虛擬實例，或者是對運行在無服務器的PaaS中的功能做出更改，而哪些又不能呢？這就是訪問權(quán)限管控，如“最小化權(quán)限”，企業(yè)要禁止一些非必要訪問。

信任但要驗證

正如對待諸如Windows的域賬戶等內(nèi)部賬戶一樣，企業(yè)的安全管理者也應當定期地驗證訪問等級是否適當。

要建立終止和工作的變更程序，以確保在個人放棄或改變角色時能夠進行相應調(diào)整；要審核憑據(jù)的使用，確保其作用得到有效發(fā)揮；還要考慮是否存在一些工具，諸如在企業(yè)的訪問策略中能夠扮演某種角色的特權(quán)身份管理工具。其中，特權(quán)身份管理工具有助于記錄憑據(jù)的使用，如這類工具的審計功能有助于記錄系統(tǒng)、賬戶的訪問痕跡。